Главная » Вопросы

Как вручную экранировать литералы SQL в Python

Вопросы

Я пытаюсь написать построитель запросов очень высокого уровня, специфичный для моего приложения. В настоящее время я использую psycopg2, у которого, похоже, нет способа избежать одного литерала, если он не является частью более крупного, уже написанного запроса.

Есть ли общий модуль для этого? У меня, кажется, не так много (если есть) вариантов.

Post Views: 261
См. также:  Как преобразовать словарь в желаемом формате в указанный формат Json, например пары значений ключа, как указано ниже?
1 postgresql psycopg2 python sql
Понравилась статья? Поделиться с друзьями:
Вам также может быть интересно
Вопросы 1
Как запустить анимацию CSS только после полной загрузки страницы?
У меня есть предварительный загрузчик css, который работает до полной загрузки страницы. Который затем
Вопросы 3
Может ли Pip установить зависимости, не указанные в setup.py во время установки?
Я бы хотел, чтобы pip установил зависимость, которая у меня есть на GitHub, когда
Вопросы 0
Настройка конечного автомата (таймеров) spring (uml) для модульных тестов
Попытка модульного тестирования конечного автомата Spring UML с таймерами. Ожидается, что в реальном режиме
Вопросы 0
Загрузка фикстур Symfony с помощью консольных команд
Я бы хотел, чтобы моя база данных сбрасывалась после каждого теста выполнением консольных команд
Вопросы 1
onMouseLeave / onMouseOut иногда срабатывает при обновлении страницы React
У меня есть изображение, и когда я нахожу на него указатель мыши, запускается событие
Вопросы 2
Связанный список: как реализовать деструктор, конструктор копирования и оператор присваивания копирования?
Это мой код на С++: #include <iostream> using namespace std; typedef struct Node {
IT Шеф
Комментарии: 1
  1. Alex S

    Вы не должны нужно экранировать литералы; вот для чего нужны параметризованные операторы. psycopg2 поддерживает их как для планируемых операторов (вставка/обновление/удаление/выбор), так и для непланируемых операторов (создание таблицы, создание индекса,…).

    Вы должны всегда использовать параметризованные операторы вместо прямой замены литералов в строках запроса.

    Похоже, что psycopg2 также предоставляет некоторые функции цитирования, особенно psycopg2.extensions.adapt.

    Тем не менее, для современного PostgreSQL это довольно тривиально; вы можете следовать тем же правилам, что и для идентификаторов, только с ' вместо ":

    • Если в строке есть нулевой байт (\x00), усеките строку до нулевого байта;
    • Для каждого ' в строке замените его на ''; и
    • Добавить и добавить '.

    Вот и все. Обратная косая черта не имеет особого значения, поэтому больше нечего экранировать.

    Вам просто нужно убедиться, что standard_conforming_strings включен (SELECT current_setting('standard_conforming_strings') и выдать исключение, если это не так, потому что эти правила совершенно неверны для строк в старом стиле и строк E''.

    Было бы очень хорошо иметь функции escape_literal и escape_identifier в psycopg2. Рассмотрите возможность отправки исправления.

    Смотрите также:

    Ответить
Добавить комментарий

;-) :| :x :twisted: :smile: :shock: :sad: :roll: :razz: :oops: :o :mrgreen: :lol: :idea: :grin: :evil: :cry: :cool: :arrow: :???: :?: :!:

We use cookies in order to give you the best possible experience on our website. By continuing to use this site, you agree to our use of cookies.
Accept
Privacy Policy